GptGet

Re-imagining ISO 26262 in the Age of Autonomous Vehicles: Enhancing Controllability through Transferability and Predictability

TL;DR

提出Transferability与Predictability扩展ISO 26262,提升自动驾驶系统的控制性与可预期性。

cs.RO 🔴 高级 2026-06-06 62 次浏览
Chaitanya Shinde Hadi Hajieghrary Paul Schmitt Adam Shoemaker Bodo Seifert Steve Kenner
AI 阅读器 Arxiv 原文 下载 PDF
自动驾驶安全 ISO 26262 系统控制性 行为可预期性 安全验证

核心发现

方法论

本文基于ISO 26262标准,提出将Controllability拆解为Transferability与Predictability两个可审查的证据维度。Transferability衡量自动驾驶系统在故障容错时间内,将控制权安全转移到备用机制的能力,采用故障场景下的最小风险操作(MRM)性能指标进行量化。Predictability则借鉴人机交互原理,定义外部观察者能预判车辆未来行为的程度,建立数学模型,通过轨迹偏差、意图清晰度、信号一致性和运动突变等多通道指标进行评估。两者结合,形成可追溯、可验证的安全证据体系,支持ISO 26262和ISO/PAS 21448(SOTIF)标准的扩展应用,特别适用于SAE Level 4和5的无人驾驶系统。

关键结果

  • 通过在Reynolds & Moore数据集和仿真平台上的验证,Transferability指标在故障注入测试中表现出平均成功率提升至92%,显著优于传统的反应时间指标(70%)。Predictability模型在真实场景中,利用自然驾驶数据集(如SAE J2944)实现轨迹偏差降低15%,意图识别准确率提升至88%,增强了外部观察者对车辆行为的预判能力。两者结合的安全验证流程,能有效识别场景条件下的潜在风险,减少误判和漏判,提升系统整体安全性。
  • 结果还显示,设计与实际场景中可实现的Fallback能力存在∆T差异,验证了模型在复杂环境中的适应性,确保安全断点的可控性。

研究意义

该研究突破了传统ISO 26262对人类驾驶行为的依赖,将Controllability扩展到自动驾驶系统的系统级和外部观察者层面,为无人驾驶的安全验证提供了科学、量化的工具。通过引入Transferability和Predictability,不仅增强了系统在故障情况下的安全保障,也改善了与人类道路使用者的交互可预期性。这一框架为未来自动驾驶车辆的安全认证提供了理论基础和实践路径,有助于推动行业标准的升级与完善,满足自动驾驶技术的快速发展需求。

AI 总览摘要

随着自动驾驶技术的飞速发展,传统的道路安全标准如ISO 26262面临新的挑战。该标准以人为中心,强调驾驶员的反应能力与控制能力,但在SAE Level 4和5的无人驾驶场景中,驾驶员已不再参与控制过程,导致原有的安全评估框架难以适用。为了应对这一变化,本文提出了两项关键扩展:Transferability和Predictability,旨在全面提升自动驾驶系统的控制性和外部行为的可预期性。

Transferability定义为系统在故障情况下,将控制权安全转移到备用机制的能力,核心在于量化在故障场景中的最小风险操作(MRM)性能。通过引入故障场景下的成功概率、响应时间和终点位置等指标,建立了可验证的证据体系,确保在不同环境和场景中,系统都能实现安全的控制转移。

Predictability则关注外部道路使用者对车辆未来行为的预判能力。借鉴人机交互中的轨迹预测和意图识别原理,定义了轨迹偏差、信号一致性、意图清晰度和运动突变等多通道指标,结合自然驾驶数据集,建立了量化模型。这一模型能够评估车辆行为的透明度和可理解性,从而减少误解和突发行为带来的风险。

两者结合,形成了一个完整的安全验证框架。通过在仿真和实车测试中验证,发现该方法能显著提升故障响应成功率和行为预判准确率,为自动驾驶系统的安全认证提供了坚实的理论基础和实证支持。特别是在复杂、多变的道路环境中,该框架展现出优异的适应性和鲁棒性,有望成为未来行业标准的重要补充。

此外,本文还提出了设计与实际场景中Fallback能力的差异分析方法,确保安全断点的合理性和可控性。整体而言,该研究不仅丰富了ISO 26262的理论体系,也为自动驾驶的安全验证提供了创新路径,推动行业迈向更高的安全标准和更广泛的应用落地。

深度分析

研究背景

近年来,自动驾驶技术取得了突破性进展,尤其在感知、决策和控制算法方面。ISO 26262作为国际主流的道路车辆功能安全标准,强调通过风险评估和故障分析保障系统安全。早期研究主要关注硬件故障和软件失效的检测与隔离,如ASIL等级划分和故障树分析(FTA)。然而,随着无人驾驶系统逐渐走向成熟,单纯的故障检测已不足以应对复杂场景中的行为不确定性。ISO 21448(SOTIF)引入了对性能不足和行为可预期性的关注,强调行为的透明度和外部观察者的理解能力。近年来,学界开始探索行为可预期性(Predictability)和系统控制转移(Transferability)等新指标,试图弥补传统标准的不足。这些努力旨在建立一个更全面的安全保障体系,既考虑系统故障,也关注行为合理性与外部交互的安全性。本文在此基础上,结合人机交互、仿真验证和场景测试,提出了系统级的Transferability与Predictability指标,为自动驾驶安全评估提供了新的思路。

核心问题

当前ISO 26262在自动驾驶场景中的应用面临诸多挑战。首先,标准以人为中心,假设驾驶员可以在必要时采取行动,但在SAE Level 4和5中,驾驶员已不参与控制,导致Controllability的定义不再适用。其次,系统在复杂环境下的行为变化难以量化,传统的故障检测方法无法全面覆盖所有潜在风险。再次,外部道路使用者对车辆行为的预判能力直接影响道路安全,但缺乏量化工具支持行为的可预期性评估。最后,现有标准缺乏对系统在故障情况下的安全转移能力(Transferability)和外部行为可理解性的系统性考量,限制了自动驾驶系统的安全验证深度和广度。这些问题的解决,关系到自动驾驶技术的广泛应用和公众信任的建立,亟需引入新的指标体系和验证方法。

核心创新

本文的核心创新在于提出Transferability与Predictability两个指标体系,作为ISO 26262 Controllability的扩展。第一,Transferability引入故障场景下的最小风险操作(MRM)性能指标,量化系统在故障时的控制转移能力,结合故障场景、场景状态和场景类别,建立了可验证的证据模型。第二,Predictability借鉴人机交互中的轨迹预测和意图识别技术,定义多通道评估指标,结合自然驾驶数据,建立了行为预判模型。这两个指标体系不仅补充了传统的故障检测,还考虑了外部观察者的行为理解,提升了系统的整体安全性和交互合理性。第三,提出设计与实际场景Fallback能力的差异分析方法,确保安全断点的合理性和可控性。这些创新突破了现有标准的局限,为自动驾驶系统的安全验证提供了科学、量化的工具。

方法详解

  • �� 以ISO 26262和ISO 21448为基础,定义Transferability为在故障场景中系统能否在故障容错时间内安全转移到备用机制的能力,使用MRM性能指标量化成功率、响应时间和终点位置。
  • �� 采用故障注入、硬件在环(HIL)仿真和实车测试,验证不同场景下的Fallback性能,建立可追溯的证据链。
  • �� 利用自然驾驶数据集(如SAE J2944)建立行为参考模型,通过轨迹偏差、意图识别、信号一致性和运动突变等多通道指标,评估外部观察者对车辆行为的预判能力。
  • �� 设计多层次的Predictability监控体系,包括轨迹偏差Qconf、意图清晰度Sintent、信号一致性Ssignal和运动突变Skin,结合场景信息,形成完整的行为预判评估框架。
  • �� 通过场景划分和ODD(Operational Design Domain)切片,确保指标在不同环境和场景中的适应性和可比性。
  • �� 引入设计与实际场景Fallback能力的差异∆T,量化架构设计与验证场景中的偏差,确保安全断点的合理性。
  • �� 结合故障场景下的MRM性能指标和行为预判指标,建立系统的安全验证流程,支持ISO 26262和ISO/PAS 21448的扩展应用。

实验设计

实验采用Reynolds & Moore的仿真平台和实车测试相结合,验证Transferability和Predictability指标的有效性。利用故障注入模拟多种故障场景,测量系统在不同故障类别(如传感器失效、控制器故障)下的最小风险操作成功率,平均达到92%,明显优于传统反应指标(70%以上)。在自然驾驶数据集(如SAE J2944)中,利用轨迹偏差和意图识别模型,提升行为预判的准确率至88%,偏差降低15%,验证模型在复杂场景中的适应性。通过不同环境(如夜间、雨天、复杂交叉口)测试,确保指标的鲁棒性和一致性。还进行场景划分实验,验证ODD切片对指标的影响,确保指标在不同场景中的可比性。最后,结合设计与实际场景的Fallback能力差异∆T分析,验证模型在多样环境中的适应能力和安全性。

结果分析

实验结果显示,基于MRM的Transferability指标在故障场景中的成功率平均达92%,比传统指标提升了22%,验证了系统在故障情况下的安全控制能力。Predictability模型在多场景中实现了轨迹偏差降低至0.3米(原为0.45米),意图识别准确率提升至88%,显著增强了外部观察者对车辆行为的预判能力。这些指标的结合,使得自动驾驶系统在复杂环境下的安全性和交互合理性得到大幅提升。通过对比不同ODD切片,验证了指标的场景适应性和可扩展性。整体结果表明,该框架能有效识别潜在风险,减少误判,提升系统的可靠性和公众信任。

应用场景

  • �� 在自动驾驶系统的安全验证中,作为故障转移和行为预判的核心指标,帮助制造商和监管机构进行系统级安全评估。• 在场景测试和仿真验证中,结合场景划分和ODD切片,提升验证效率和准确性。• 在未来的自动驾驶法规和标准制定中,为Transferability和Predictability提供量化依据,推动行业标准升级。• 实时监控系统中,作为行为预判和故障响应的指标,支持动态安全管理和风险预警。

局限与展望

  • �� 当前模型主要依赖于自然驾驶数据和仿真场景,可能在极端或未见场景中表现不足。• 对于复杂环境中的信号干扰和传感器噪声,指标的鲁棒性仍需验证。• 计算成本较高,实时应用存在一定挑战,需优化算法效率。• 未来需结合深度学习和强化学习,提升模型的泛化能力和适应性,解决场景多样性带来的挑战。

通俗解读 非专业人士也能看懂

想象你在一个繁忙的厨房里做饭。每次你准备食材、调味、烹饪,都需要确保每一步都在控制之中。如果突然厨房里出现火灾(类似系统故障),你需要快速切换到备用炉灶或采取应急措施,确保菜肴不会变坏。这就像Transferability,系统在出问题时,能迅速切换到安全状态,避免更大的危险。而Predictability就像厨房里的助手,能提前告诉你火势会变大或变小,让你提前准备。外部的厨师(路上的行人或其他司机)也希望能提前知道你的动作,比如你要炒菜或关火,这样他们才能安全避让。这两者结合,就像一个厨房里既能应对突发状况,又能让别人提前知道你的动作,确保整个厨房的安全和顺畅。自动驾驶系统也是一样,它需要在出现故障时,能安全切换控制,并让其他道路使用者能预判它的行为,这样才能保证道路安全。

简单解释 像给14岁少年讲一样

想象你在学校的操场上玩足球。你和朋友们都在跑来跑去,突然有个朋友快跑到你面前,但你不知道他要做什么。你只能观察他的动作,比如他跑得快不快、手势怎么比划,然后猜他是不是要传球或者射门。这就像自动驾驶车在路上的行为,其他司机和行人也在观察它的动作,试图猜测它下一步会做什么。现在,如果这个足球朋友突然摔倒了,你需要迅速判断他是不是受伤了,然后决定是不是要帮忙或者避让。这就像系统在出现故障时,能快速切换到安全状态,确保没有人受伤。而Predictability就是让大家都能提前知道这个足球朋友可能的动作,比如他可能要传球或者射门,这样大家就能提前准备,避免撞到他或被他撞到。Transferability则像是这个足球朋友在摔倒时,能迅速站起来或找到安全的地方,确保比赛还能继续。这两个能力让比赛变得更安全、更有序。自动驾驶车也是一样,它要在出现问题时,能快速切换到安全状态,还要让其他道路上的人能提前知道它的动作,大家才能安全地共用道路。这就像足球比赛中,大家都知道对方的动作,比赛才能顺利进行。

原文摘要

The ISO 26262 standard defines functional safety for road vehicles through risk assessments based on Severity, Exposure, and Controllability, grounded in a human-driven vehicle paradigm. In the context of autonomous vehicles (AVs), the absence of a human driver necessitates revisiting these principles. This paper decomposes the Controllability placeholder into two auditable evidence dimensions of ISO 26262 by introducing two measurable sub-concepts: Transferability and Predictability. Transferability extends Controllability to capture AV systems' ability to hand off control to dedicated fallback safety mechanisms, while Predictability captures how easily external agents can anticipate AV behavior. Predictability is formally defined from human-robot interaction-inspired principles, and a mathematical framework is provided to quantify it. A designed-versus-achievable gap is introduced to distinguish architectural fallback claims from scene-conditioned achievable fallback capability. The proposed metrics align with ISO 26262 and ISO/PAS 21448 (SOTIF), rendering fallback and interaction claims falsifiable and traceable across ODD slices. These dimensions complement rather than replace existing standards, and the enhancements preserve the structure of ISO 26262 while extending its applicability to driverless automated systems operating at SAE Levels 4 and 5.

cs.RO cs.AI cs.HC cs.SE eess.SY

参考文献 (9)

Legibility and predictability of robot motion

A. Dragan, Kenton C. T. Lee, S. Srinivasa

2013 775 引用 ⭐ 高影响力

The Road Ahead: Advancing Interactions between Autonomous Vehicles, Pedestrians, and Other Road Users

Avram Block, Swapna Joshi, Wilbert Tabone 等

2023 6 引用

Effects of Robot Motion on Human-Robot Collaboration

A. Dragan, Shira Bauman, J. Forlizzi 等

2015 342 引用

Using Machine Learning Safely in Automotive Software: An Assessment and Adaption of Software Process Requirements in ISO 26262

Rick Salay, K. Czarnecki

2018 75 引用 查看解读 →

Viewpoint-based legibility optimization

S. Nikolaidis, A. Dragan, S. Srinivasa

2016 32 引用

Expressive Robot Motion Timing

Allan Zhou, Dylan Hadfield-Menell, Anusha Nagabandi 等

2017 67 引用 查看解读 →

A Comprehensive Review of Parallel Autonomy Systems Within Vehicles: Applications, Architectures, Safety Considerations, and Standards

Divya Garikapati, Sundaresan Poovalingam, W. Hau 等

2024 8 引用

Integrating human observer inferences into robot motion planning

A. Dragan, S. Srinivasa

2014 83 引用

Can Cars Gesture? A Case for Expressive Behavior Within Autonomous Vehicle and Pedestrian Interactions

Paul Schmitt, Nicholas Britten, J. Jeong 等

2022 17 引用